באג המעבדים הגדול: הנה כל מה שאתם צריכים לדעת על הבאג שישפיע על המחשבים והטלפונים שלכם

אתמול נחשף אחד הבאגים החמורים ביותר בשנים האחרונות, שמשפיע על כמעט כל המחשבים מהעשור האחרון ויוצר פרצת אבטחה חמורה; מצד שני, התיקון של הפרצה יסתיים בהאטה ניכרת של המחשב. נשמע מורכב? תנו לנו לעשות לכם סדר

מקור: גיקטיים

אמש (שעון ישראל) החלו להגיע ידיעות על באג חמור שהתגלה בכל המעבדים שייצרה אינטל בעשור האחרון, באג שחושף פרצת אבטחה חמורה בקרנל, או הליבה של מערכת ההפעלה. הידיעה שדלפה מוקדם מהצפוי תפסה את רוב ענקיות הטכנולוגיה בתרדמת השנה החדשה, ונראה שלקח להן לא מעט זמן להתעשת. במהלך הלילה החלו להופיע התגובות הרשמיות של אינטל, AMD וגוגל שחושפות עוד אור על אחד מהבאגים החמורים ביותר של השנים האחרונות.

על מה הבלאגן?

בחודשים האחרונים גילתה קבוצת חוקרים מ-Project Zero, צוות האבטחה המיוחד של גוגל, ביחד עם צוות חוקרים מכמה אוניברסיטאות אמריקאיות בעיה חמורה בטכנולוגיה שנקראית Speculative execution ומיושמת בכל המעבדים המרכזיים (CPU) במחשבים ובמכשירים אחרים.

מה זה Speculative execution?

כדי לחסוך בזמן וכדי לספק למשתמש ביצועים טובים יותר, המעבדים מנסים לחזות אילו חישובים הם יתבקשו לעשות בהמשך על ידי האפליקציות ומבצעים אותם מראש. נכון, חלק מהחישובים מיותרים והמעבד יתעלם מהם ומההשפעות שלהם בהמשך, אבל שאר החישובים שהוא ביצע מראש, ובאמת היו חיוניים, ייעשו מראש ובמקביל לחישובים קודמים. התוצאה: זמן ההמתנה שלנו למשימות שונות יתקצר.

נשמע מגניב. מה הבעיה?

הבאג שהתגלה חושף פגם בתכנון של המעבדים כיום ובדרך שהם משתמשים ב-Speculative execution.

זוכרים את החישובים ‘המיותרים’? מסתבר שכתוצאה מה’פגם’ הזה, המעבדים לא בודקים היטב את הרשאות השימוש וחושפים לכל אחד למעשה את כל המידע והנתונים שקשורים בחישובים הללו.

כתוצאה מכך, כל תוכנה, אפליקציה – אפילו קוד JavaScript בדפדפן – יכול לגשת לאזורים המוגנים לכאורה של זיכרון ה-Kernel או ליבת מערכת ההפעלה. אלו הם החלקים שמקשרים בין התוכנה לחומרה של המשתמש כמו הדיסק והזיכרון ואמורים להיות מוגנים כל הזמן.

מה הסכנה?

תוקף שמנצל את הפרצה הזו יכול תיאורטית להגיע לכל הסיסמאות וכל הקבצים שמאוחסנים על המחשבים שלנו. וזה רע. רע מאוד.

וכבר ניצלו את הפרצה הזו?

חוקרים במכון הטכנולוגי של גרץ שבאוסטריה חשפו 3 שיטות התקפה שמאפשרות שימוש בבאג הזה; הראשונה מכונה Meltdown והשנייה והשלישית, שהן קרובות משפחה, זכו לשם המשותף Spectre.

Meltdown – הטכניקה הזו מנטרלת את ההפרדה הבסיסית בין אפליקציות של המשתמש ובין מערכת ההפעלה. הטכניקה מאפשרת לנוזקות להגיע לחלקים שהן לא אמורות להגיע עם ההרשאות שלהן כמו לחלקים המוגנים בזיכרון ולגנוב משם מידע. פרצת האבטחה הזו (CVE-2017-5754) מוגבלת רק למעבדים של אינטל.

Spectre – טכניקת תקיפה זו מאפשרת לתוכנות שונות לגנוב מידע מהזיכרון שנמצא בשימוש של תוכנות אחרות. כלומר, אם תוכנה מאושרת ולגיטימית עושה שימוש בסיסמאות או מידע רגיש שלכם, נוזקה, שעושה שימוש בפרצת האבטחה שיצר הבאג, יכולה לקבל גישה לזיכרון ולהיחשף לכל המידע הרגיש. 2 פרצות האבטחה האלו (CVE-2017-5753 ו-CVE-2017-5715) עלולות לפגוע גם במעבדים של AMD ו-ARM.

עם זאת, חשוב להדגיש, כי לא נרשם שימוש לרעה עדיין בפרצת האבטחה הזו. זה לא אומר שלא נעשה שימוש כזה – אבל לפחות על פי הידוע לכל חברות הטכנולוגיה כיום – לא זוהה עדיין שימוש לרעה.

מי הושפע מהבאג הזה? מה החברות עושות בעניין?

זה באג חומרה ברמת המעבד ולכן כמעט כל מערכות ההפעלה, המחשבים והמכשירים שמוכרים לנו חשופים לו: החל מ-Windows, דרך macOS, וכן, גם בלינוקס זה קורה. בנוסף, מכיוון שגם מעבדים מבוססי ARM חשופים לבאג, גם הסמארטפונים עלולים להיפגע.

עם זאת, עם כל הכבוד ללפטופים או למחשבים שלנו, יש בעיה חמורה נוספת. מכיוון שהמעבדים של אינטל נמצאים גם בכל השרתים הארגוניים ושירותי הענן השונים, גם שירותי הענן המובילים – החל מה-AWS של אמזון ועד ה-Azure של מיקרוסופט – יושפעו. מחר (ו’), למשל, צפויה אמזון ‘לבצע עבודות תחזוקה’ יסודיות, בגלל הבאג, אולם על פי ההודעה שלה רוב השירותים כבר מוגנים והמיעוט שעוד לא – יזכו לעדכון בשעות הקרובות. על פי ההודעה שלה, מיקרוסופט כבר שחררה עדכון אבטחה למשתמשי Windows והחלה ביישום עדכון אבטחה לשירותי הענן שלה.

בכל הקשור למובייל, לא ברור האם ומתי יגיעו עדכוני אבטחה. היצרניות עוד לא הוציאו הודעה מסודרת, אבל ככל הנראה משתמשי אפל ייהנו מפתרון בעדכון הבא. עם זאת, החברה עוד לא הוציאה הודעה רשמית. משתמשי האנדרואיד יהיו ככל הנראה בבעיה, משום שרוב היצרניות איטיות מאוד בכל הנוגע לעדכונים בכלל ועדכוני אבטחה בפרט, ולא ברור האם יצרניות כמו סמסונג, LG, וואווי ואחרות יטרחו בכלל להוציא עדכון אבטחה שכזה. מכשירים חדשים יחסית צפויים לקבל בקרוב את עדכון האבטחה של ינואר שכולל את התיקון לבאג.

משתמשי אנדרואיד נקי – כמו שנמצא למשל במכשירי הנקסוס והפיקסל – הרווחתם, עדכון האבטחה של ינואר שיצא מוקדם מהצפוי כבר כולל את התיקון ואתם מוגנים. שאר השירותים של גוגל מפורטים כאן.

אז לא רק אינטל?

לא. בניגוד לסברות המוקדמות, ובניגוד להודעת ההכחשה הראשונית של AMD, לא רק מעבדים של אינטל חשופים לפרצת האבטחה. כאמור, על פי חוקרי גוגל שגילו את הבאג, הבעיה כוללת גם מעבדי AMD ו-ARM. למרות זאת, היקף הבעיה קטן משמעותית וככל הנראה גם הטיפול בה יהיה מהיר יותר ויכלול פחות תופעות לוואי.

אז מתקינים עדכון והכל בסדר?

לא ממש.

הבידוד החדש של זיכרון הליבה גורם לחלק מהמערכות לפעול הרבה יותר לאט. על פי חלק מהדיווחים, עדכון האבטחה עלול לגרום לפגיעה של עד 30 אחוזים בביצועים. עם זאת, הכל תלוי במעבדים – ובמעבדים חדשים ומתקדמים יותר הפגיעה תורגש פחות.

בהצהרה שמסרה אמש (ד’) אינטל היא כותבת: “הביצועים יושפעו מעומס העבודה של המעבד, כשהמשתמש הממוצע לא אמור להרגיש שינוי בביצועים – ואלו ייעלמו עם הזמן”.

וככה זה נראה בוידאו

יניב אביטל

עורך אתר גיקטיים. יש לכם רעיון לכתבה? טיפ סודי? הדלפה? מחכה לכם ב-yaneev@geektime.co.il

הגב

19 תגובות על "באג המעבדים הגדול: הנה כל מה שאתם צריכים לדעת על הבאג שישפיע על המחשבים והטלפונים שלכם"

התחבר עם:

Photo and Image Files

Audio and Video Files

Other File Types

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי: חדש | ישן | הכי מדורגים

Guest

אהרון